发生了什么问题？

为什么我们需要一个IT事故调查委员会

Poul-Henning Kamp

“闲话集”原本计划在我建房期间短暂休刊，但由于我们确实生活在一个有趣的时代，休刊时间变得有点长，擅离职守了，不过我现在回来了。

今年四月，英国一家法院为39名邮局局长和邮局分局局长洗清了罪名，此前他们被指控并因各种形式的欺诈行为被判刑，其中一些人甚至被判处多年监禁 [bbc.com]。

总共有大约700人因为英国邮局安装的单一IT系统提供的“证据”而被起诉，虽然其中一些人可能确实贪污了公款，但大多数人看起来并没有。他们是根据一个IT系统提供的证据被判刑的，这个系统……呃……说实话，我们实际上并不知道这个IT系统做了什么，只知道它做得非常非常糟糕。

新闻报道中充斥着对该IT系统缺陷的各种含糊不清和含糊其辞的说法，但没有人坐下来准确记录到底出了什么问题，以及可以从中吸取什么教训，以避免任何人再犯同样的错误。

如果这是一艘船沉没、火车脱轨或飞机坠毁，英国的官方事故调查委员会之一就会介入并撰写一份报告，每个人都可以阅读，解释发生了什么问题以及如何避免再次发生。但由于没有涉及船舶、火车或飞机，因此不会有这样的报告。

十多年来，我一直在争论，政府应该设立IT事故调查委员会，理由与他们为船舶、铁路、飞机以及许多情况下为汽车设立事故调查委员会的原因完全相同。

丹麦设立铁路事故调查委员会是因为蒸汽火车造成了太多人伤亡，并且一直保留着该委员会，因为一千吨钢铁以每小时180公里的速度飞驰，就在25千伏电力线下方，造成的损害可能比装载木制车厢的蒸汽机车更大。

英国的航空事故调查处成立的原因也差不多，但更具体地说，是因为当航空公司自己调查时，没有人变得更聪明。

这听起来是否有点熟悉？

任何事故调查委员会的关键特征是，它只关注哪里出了问题以及如何避免再次发生，而不是追究责任。

有时，委员会可能会发现有人没有做关键的事情，做了不合逻辑的事情，甚至做了愚蠢的事情，但只有在防止同类型事故再次发生时，这些信息才会被公布。

据我所见，这些信息是以不带个人色彩的术语传递的（“飞行员做了……”，“职员没有做……”），因为那个人是谁并不重要；重要的是不再有人再次承受同样的后果。

IT事故调查委员会应调查三种类型的事件

• 当IT系统涉及生命、肢体或自由的丧失时。

• 当IT系统的开发遭遇惨败时。

• 当IT系统泄露个人信息时。

第一点是关于一致性的问题。两架波音737 MAX飞机因IT系统而坠毁，并且由于这些IT系统恰好安装在飞机上，我们得到了报告，然而，我们没有收到关于英国邮局IT问题的报告，因为它的系统被安装在19英寸的机架中。

这毫无道理：这两个IT事故造成的人员伤亡远远超出了任何文明社会可以容忍的范围。

第二点是关于健全的财政政策。像所有其他国家一样，丹麦在政府IT系统的开发方面有着糟糕的记录。数百万美元，甚至在某些情况下数十亿美元的税款投入到几乎总是延期、超预算、交付失败等的项目中。

但是没有人被支付报酬——或被给予足够的权限——来撰写一份技术报告，详细说明关键错误以及如何在未来的项目中避免和预防这些错误。如果IT事故调查委员会在这样的项目失败时撰写一份报告，并且如果所有未来项目的合同都规定必须遵循委员会的建议，那么至少纳税人不必为重复同样的错误买单。

第三点几乎不需要提及：个人信息是IT系统的氦气——它从每一个裂缝或缺陷中泄漏出来的速度都比看起来更快。这显然是“自由丧失”的一个子类，但它太具主导性了，以至于值得单独作为一个类别。

虽然几乎每个人都同意必须采取行动™，但没有人愿意给官方的IT事故调查委员会授权，以找出“行动”应该是什么。软件公司对他们的商业秘密和知识产权将如何被侵犯含糊其辞。他们真正想说的是，他们不希望任何人阻止他们的摇钱树。

个别开发人员担心他们会成为替罪羊，即使这恰恰不是事故调查委员会所做的事情。而私营公司的政治家和管理层如果不是在避免为偷工减料和最佳情况管理承担责任方面保持一致，那就什么都不是了。

一个特别站不住脚的论点是，根本不可能撰写IT事故报告。我不知道这种想法从何而来，但肯定不是来自阅读事故报告。例如

2017年，一架飞机的发动机在格陵兰冰盖南部上空爆炸。发动机的一部分落在冰面上，而飞机继续飞往加拿大北部第一个合适的机场。

没有人受伤。

两年后，事故调查委员会定位并挖掘出了埋在格陵兰冰层下几米深的缺失部件。

如果你认为这听起来很容易，我强烈推荐这份关于他们如何做到这一点的69页的报告。

一年后，委员会发布了最终报告，揭示了一种名为“冷停留/冷蠕变”的失效模式导致风扇叶片解体。这让所有人感到惊讶，因为没有人，即使是秘密实验室里的疯狂科学家，也从未想象过钛-6-4钛合金会出现这种失效模式 [worldairlinenews.com]。

所以，是的，IT事故调查委员会肯定会发现要弄清楚英国邮政IT系统出了什么问题是“不可能的”。才怪！

另一个站不住脚的论点是，人们会拒绝说话，并且会销毁和隐藏证据。这大大低估了立法者：对于所有其他事故调查委员会来说，这样做都是犯罪行为，即使是很小的违规行为也会导致监禁。而且，除非你做了犯罪的事情，否则这并不是“自我定罪”。

最后，也是最让我困惑的是，人们声称IT事故调查委员会将花费太多的钱。

与什么相比？

与用虚假的犯罪记录和多年的牢狱之灾摧毁近700人的生活，让他们与家人和孩子分离相比？

与丹麦为一个新的警察IT系统花费的1亿欧元相比，这个项目从未交付任何成果？这笔钱本可以轻松支付丹麦IT事故调查委员会最初20年的费用。

实际上，没有任何有效的论据反对IT事故调查委员会，所有提出的站不住脚的论据都与人们提出的反对所有其他现在运行非常成功的事故调查委员会的论据相同。

这些委员会是有效的。我们需要一个IT事故调查委员会，而且我们现在就需要它。

注：在这篇专栏文章撰写后不久，美国宣布于五月成立一个新的网络安全安全审查委员会，类似于上面描述的内容。 [whitehouse.gov]。

“该行政命令设立了一个网络安全安全审查委员会，由政府和私营部门领导共同担任主席，该委员会可能会在发生重大网络事件后召开会议，分析发生了什么，并为改进网络安全提出具体建议。组织常常重复过去的错误，并且没有从重大的网络事件中吸取教训。当出现问题时，政府和私营部门需要提出尖锐的问题并做出必要的改进。该委员会以国家运输安全委员会为模型，该委员会用于飞机坠毁和其他事件之后。”

Poul-Henning Kamp ([email protected]) 在创建 Varnish HTTP 缓存软件之前，花了十多年时间作为 FreeBSD 操作系统的主要开发人员之一，大约五分之一的网络流量在某个时候会通过该软件。他住在他的家乡丹麦，在那里他以独立承包商的身份谋生，专门从事让计算机做奇怪的事情。他最近的项目之一是一个超级计算机集群，以阻止星星在欧洲南方天文台 (ESO) 新型 ELT 望远镜的镜子中闪烁。

最初发表于 Queue 第 19 卷，第 3 期—
在数字图书馆中评论本文

更多相关文章

Jatinder Singh, Jennifer Cobbe, Do Le Quoc, Zahra Tarkhani - 云中的飞地
随着组织数据实践受到越来越多的审查，对可以帮助组织履行其数据管理义务的机制的需求正在增长。 TEE（可信执行环境）提供基于硬件的机制，具有各种安全属性，用于辅助计算和数据管理。 TEE 关注数据、代码和相应计算的机密性和完整性。由于主要安全属性来自硬件，因此即使主机特权软件堆栈易受攻击，也可以提供某些保护和保证。

Tracy Ragan - 在 IT 合规性游戏中保持领先
让开发人员接受用于管理从开发到发布的应用程序的标准化程序是当今组织面临的最大障碍之一。建立标准化的从开发到发布的流程（通常称为 ALM（应用程序生命周期管理）流程）对于组织努力满足严格的 IT 合规性要求尤为关键。这说起来容易做起来难，因为不同的开发团队创建了自己的独特程序，这些程序没有文档记录、不清晰且不可追溯。

J. C. Cannon, Marilee Byers - 解构合规性
合规性主题每年都变得越来越复杂。数十项监管要求可能会影响公司的业务流程。此外，这些要求通常含糊不清且令人困惑。当被问及他们的业务流程是否合规时，负责合规性的人员自然很难简洁而自信地回应。本文着眼于公司如何解构合规性，以系统的方式处理合规性，并将技术应用于自动化与合规性相关的业务流程。它还专门研究了微软如何处理 SOX 合规性。

John Bostick - 全力以赴应对 SOX 法案
数据对于任何大型组织来说都是宝贵的资源。组织越大，它就越有可能在某种程度上依赖第三方供应商和合作伙伴来帮助其管理和监控其关键任务数据。在新颁布的上市公司法规（例如 SOX 第 404 条）之后，财富 1000 强公司的 IT 部门负责人越来越需要知道，当涉及到对其关键数据交易进行 24/7/365 监控时，他们拥有具有周密计划和完善文档记录的业务合作伙伴。为了响应验证第三方控制和程序的日益增长的需求，一些公司坚持要求某些供应商接受 SAS 70 Type II 审计。